Техническое описание  Электронной Анкеты

1. ОСНОВНЫЕ Понятия

“ПО БКИ” - клиентская часть программного обеспечения информационной  системы ПЛЕЯДЫ, которая устанавливается у Партнеров или Пользователей и имеет название Электронная Анкета.

Остальные основные понятия соответствуют понятиям, принятым в Регламенте.

2. Общие сведения

2.1 Требования к функционированию ПО БКИ.

ПО БКИ должно поддерживать следующие функции:

¨      Сбор и хранение сведений о Заемщиках  в соответствии с Федеральным законом.

¨      Предоставление возможности редактирования введённой Информации.

¨      Предоставление Кредитных отчетов в соответствии с Федеральным законом.

¨      Хранение Информации в упорядоченном виде (в Базе данных), обеспечивающем возможность анализа Информации с целью получения скоринговых оценок.

¨      Поддержка тарификации.

¨      Наличие документированного интерфейса для работы с системой прочих программ.

2.2 Организационное обеспечение ПО БКИ.

Организационное обеспечение включает в себя организационную схему, а также методики, положения, уставы, типовые соглашения и договора.

Организационная схема  ПО БКИ  имеет 6 элементов:

¨       Источники формирования кредитных историй.

Источниками могут быть юридические лица - банки или прочие кредитные учреждения, организации (кредиторы).

Ввод и редактирование Кредитных историй  для Источников, заключивших договор присоединения с Бюро, осуществляется двумя  способами:

1.       Полностью через «Электронную Анкету».

2.       Посредством собственного программного обеспечения Источника с последующим конвертированием Информации в стандартный формат, определённый в Приложении №5 к Регламенту, и отправкой Информации на сервер Бюро. Далее можно с помощью тех же программ получить подписанный сервером Бюро документ, проверить его, подписать, и отправить обратно на сервер, завершив тем самым жизненный цикл движения документа.

Редактирование и удаление Информации происходит в виде запросов. Т.е. сначала вводится существующая запись кредитной истории, после чего – исправленная запись кредитной истории. При удалении кредитной истории вводится существующая запись кредитной истории в поле операции, по  которой идёт запрос на удаление. Для обеспечения удобства работы с полями кредитной истории, Электронная Анкета может делать ряд запросов к серверу Бюро для получения полей кредитной истории, которые были уже ранее введены операторами данного источника. Источники имеют прозрачный доступ к своей Информации.

¨        Заемщики.

Физические и юридические лица (заёмщики), давшие согласие на передачу Информации в Бюро. Имеют право в любой момент получить из Бюро свою Кредитную историю (с дополнительной частью) в печатном или электронном виде.

¨       Пользователи кредитной информации.

Юридические лица и индивидуальные предприниматели. Имеют право возмездно получить с согласия Заёмщика его Кредитную историю в электронном виде.

¨       Бюро кредитных историй.

Юридические лица, внесенные в Государственный реестр бюро кредитных историй.

1.       Заключают договоры с Партнерами и Пользователями.

2.       Обслуживают запросы от:

А) Заемщиков. Ответ в печатной и электронной форме. Электронный ответ может быть  просмотрен в «Электронной Анкете». Запрос может быть подготовлен в «Электронной Анкете».

Б) Пользователей. Ответ в электронной форме. Запрос производится в «Электронной Анкете».

¨       Удостоверяющий центр

Выпускает сертификаты, предъявляемые к ЭЦП Электронного документа, в соответствии с требованиями законодательства РФ.

¨       Центральный каталог кредитных историй (ЦККИ)

Передача титульных частей кредитных историй в ЦККИ производится программным  обеспечением сервера.

2.3 Регламент взаимодействия с Бюро.

Партнер заключает договор присоединения с Бюро, загружает с сайта Бюро или разработчика Системы  ПО БКИ “Электронная Анкета” и совершает все действия в соответствии с главой 5 Регламента по подключению к информационной системе.

После установки и настройки ПО БКИ и подключения к Системе Партнер осуществляет ввод Информации и первичную отправку её на сервер Бюро. Программное обеспечение сервера осуществляет проверку полученной Информации, в случае отсутствия замечаний производится конвертирование в текстовый формат, оформленный определённым образом, присваивает ему входящий номер, подписывает его и ставит в очередь на отправку Партнеру на подпись. Партнер посредством Электронной Анкеты принимает подписанный файл, проверяет его, и в случае отсутствия замечаний осуществляет подпись с использованием своего сертификата, после чего снова отправляет документ в Бюро. Сервер проверяет валидность подписей, и в случае отсутствия замечаний, сохраняет документ в базе Oracle, и на диске в определённом каталоге. Формируется запись в очереди ответов Партнеру об успешном принятии Электронного документа. Запись кредитной истории после этого считается введённой в Базу данных. Информация о титульной части Кредитной истории направляется в Центральный каталог кредитных историй, в соответствии с требованиями Федерального закона, ЦККИ и Регламента. Если есть замечания по валидности документа, то Партнер информируется об этом.

3. Структура и основные функции ПО БКИ

В программном обеспечении Системы можно выделить следующие основные части, которые могут быть использованы специалистами по информационным технологиям для написания собственного клиентского обеспечения:

3.1 Первичный ввод информации.

3.1.1 «Электронная Анкета»

Позволяет осуществить ввод, отправку, редактирование, поиск Кредитной истории.

Электронная Анкета позволяет автоматизировать приём и отправку Информации.

Позволяет:

А) импортировать XML файл в Электронную Анкету;

Б) отправить Кредитные истории на сервер;

В) принять подписанные Кредитные истории с сервера;

Г) подписать Кредитную историю и отправить её на сервер.

В своей работе использует:

А) COM объект «Коммуникатор» для стандартного взаимодействия с сервером Бюро;

Б) «Импортёр» в «Электронную Анкету», с проверкой структуры файла;

В) «Верификатор» логики полей;

Г) «Визор» подпись Электронного документа.

3.1.2 «Верификатор»

Библиотека отвечает за проверку структуры файлов, логическое значение полей, электронную подпись и является единым программным продуктом  для сервера и Партнера.

Подпись Партнера  накладывается на документ и подпись сервера. Кроме того подписываются и дополнительные поля данных: дата подписания, входящий номер, хэш код записи.

3.1.3 «Конвертор»

Осуществляет импортирование в формат XML, принимаемый Электронной Анкетой.

3.1.4 «Визор»

Библиотека осуществляет проверку и подпись Электронного документа с использованием библиотеки Крипто Про, которая может поставляется по лицензионному соглашению.

3.2 Взаимодействие с сервером Бюро.

3.2.1 «Коммуникатор»

Взаимодействие с сервером Бюро. Обеспечение зашифрованного по SSL канала, с предъявлением требуемых сертификатов. Автоматическое подписание отправляемых документов. Является COM объектом, который имеет открытый, документированный интерфейс, для потенциального встраивания в собственные системы Источников кредитных историй. Функции Коммуникатора вызывает «Электронная Анкета» для выполнения функций взаимодействия с сервером Бюро посредством SOAP протокола.

3.3 Сервер Бюро.

3.3.1 «Вебсервер»

Обеспечение стандартизированных веб-сервисов, для работы с Базой данных Бюро.

3.3.2 «Cервер БД»

База данных, функционирующая на программном обеспечении фирмы Oracle. Обеспечивает:

А) Хранение Кредитных историй;

Б) Обеспечение инфраструктуры для работы Вебсервера;

В) Подготовку аналитических отчётов для Бюро;

Г) Невозможность прямых запросов к Базе данных, минуя инфраструктуру вебсервиса.

4. Анализ защищенности процесса обработки информации в информационной системе Бюро

4.1 Описание объекта.

На сервере Бюро производится ввод, вывод, передача  и хранение Информации.

Ввод производится с удаленных рабочих мест, расположенных на территории других юридических лиц (Партнеров) по каналам связи Интернет.

4.2 Возможные каналы утечки.

1.       Каналы на АРМ ввода – не рассматриваются, т.к. являются прерогативой СЗИ Партнера. Ввод производится в рамках стандартной программы Бюро без подключения к серверу (оффлайн).

2.       Каналы передачи введенных данных на сервер со стороны Партнера. Возможность вирусных атак с АРМ клиента пресекается антивирусным ПО сервера Бюро. Возможность атак «отказ в обслуживании» на 80 порт НТТРS пресекается со стороны сервера путем прекращения соединения с клиентом (должен быть межсетевой экран – Континент-К со стороны сервера).

3.       Каналы передачи введенных данных на сервер со стороны третьих лиц (хакеров). Возможность утечки и вмешательства пресекается путем шифрования трафика с помощью СКЗИ КриптоПро.

4.       Каналы на сервере Бюро – сервер должен иметь аттестат соответствия, т.е.:

¨      утечка по каналам ПЭМИН исключается путем применения генератора электромагнитного шума.

¨      сервер не включен в состав локальной сети Бюро, единственный внутренний пользователь на сервере – администратор, ОС сервера –Windows 2000.

¨      попытки нарушения целостности (неавторизованные изменения информации) пресекаются путем применения средств электронной цифровой подписи на базе СКЗИ КриптоПро.

¨      неавторизованная загрузка сервера пресекается применением электронного замка «Соболь»,

¨      для хранения информации в структурированном виде используется СУБД ORACLE с встроенными средствами защиты (разрешено СТР-К).

¨      защита файлов ОС сервера осуществляется применением СЗИ Secret Net 2000.

¨      защита от прямого воздействия (хищения, уничтожения) обеспечивается расположением сервера в специальном помещении, доступ туда ограничен, охрана, сигнализация.

¨      защита от сбоев электропитания - источник бесперебойного питания.

5.       Регламент вывода титульных частей Кредитных историй из Бюро в ЦККИ определяется ЦККИ, предполагается передача данных, зашифрованных СКЗИ Верба по открытым каналам связи (электронная почта) с использованием электронной цифровой подписи. Выдача сертификатов осуществляется ЦККИ.